大多数的安全工程师或普通人都会像我一样,在浏览网络时, 通常会忽略或跳过HTTP 404.在检测流量时,都会是主要是在寻找流量中的异常情况,例如流量流向Internet上的奇怪地方或其他类似性质的东西,...如果是404页面,则检查其源代码中是否包含注释.如果找到注释,则检查注释中的标题是否与预定义的标题匹配.如果标题匹配,则解码base64字符串并执行命令.
?...如我们所见,c2客户端将桌面的内容(因为我们使用了ls命令)发送回到我们c2服务器.
下面,我将创建一个文件,列出内容,然后显示404页和该页的源代码....在C2服务器上,我能够运行命令,所以我使用PowerShell命令并在当前目录(桌面)中.
创建了一个空文件
?
C2接收服务器显示文件已创建.
?...现在我们可以看到我从C2服务器创建的文件在桌面上显示了
?
404页面看起来好像相同.
?
但是,如果我们查看源代码,则可以看到页面底部有一个新注释.
?